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(57) Zusammenfassung: Bei einer Netzwerkbrucke sind Mittel (BGF) zur Kontrolle des Inhalts und/oder Volumens ein- und/oder 
ausgehender Daten, die durch die Netzwerkbrucke bzw. deren Speicher (F) fliessen, vorgesehen. Die Mittel (BGF) konnen von einer 
ubergeordneten Instanz (BMC) konfigurierbar und/oder steuerbar ausgebildet oder fest vorgegeben sein. 
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10 Netzwerkbriicke 
Stand der Technik 

Die Erfindung betrifft eine Netzwerkbriicke, insbesondere zur Kopplung von IEEE1394- 
15 Bussen. 

Stand der Technik 

Netzwerke nach IEEE1394 bestehen gemafi Figur 1 aus einer Anzahl von Knoten 
20 Kl .. .Kn im Netzwerk, deren theoretische maximale Anzahl durch die Lange der 

entsprechenden Knoten-ID auf 63 beschrankt ist. Die Knoten-ID zur Adressierung der 
einzelnen Knoten hat eine Lange von 6 Bit; die Adresse 0x3F ist als Broadcast-Adresse 
reserviert. Mochte man mehr als 63 Knoten verbinden, besteht die Moglichkeit, mehrere 
separate Busse fiber eine Bus-Briicke zu verbinden. Diese Busse konnen wiederuna 

2 5 einzeln fiber eine Bus-ID adressiert werden. Die Bus-ID hat eine Lange von 10 Bit, was 

1024 Bussen entspricht. Dabei ist die Adresse fur „Systemweite Broadcast" reserviert. 
Theoretisch konnten so 1023 x63 Knoten, also 64.449 Knoten zu einem Netzwerksystem 
verbunden werden. 

3 0 Ein serieller Bus nach IEEE 1394 unterstutzt die Ubertragung asynchroner und isochroner 

Daten. Wahrend der Empfang asynchroner Datenpakte von den empfangenden Knoten 
quittiert werden muss, urn eine sichere Dateniibertragung zu gewahrleisten, ist fiir 
isochrone Daten keine Quittung notwendig. Bus-Briicken zur Kopplung mehrerer Busse 
mussen die tJbertragung beider Datentypen unterstiitzen. Gleichzeitig mussen sie dafur 
3 5 sorgen, dass bei komplexeren Topologien jedes Datenpaket seinen Empfanger erreichen 
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kann und dass alle, im Netzwerksystem verbundenen Busse mit einem synchronisierten 
Takt laufen. Der Draft Standard IEEE1394.1 Version 1.04 spezifiziert die Funktionalitat 
einer solchen High Performance Serial Bus Bridge, speziell fiir den Einsatz in 
Netzwerken nach IEEE1394b. 

5 

Vorteile der Erfindung 

Die Netzwerkbriicke mit Mitteln zur Kontrolle des Dahalts und/oder des Volumens ein- 
und/oder ausgehender Daten, die durch die Netzwerkbriicke bzw. deren Speicher fliefien, 
0 wobei die Mittel zur Kontrolle des Inhalts und/oder des Volumens von einer 

ubergeordneten Instanz konfigurierbar und/oder steuerbar ausgebildet sind, ermoglicht 
den Dateninhalt und/oder das Datenvolumen durch die Netzwerkbriicke zu kontrollieren 
bzw. zu iiberwachen. 

5 Die Mittel zur Kontrolle des Inhalts und/oder des Volumens konnen aus einer Software- 

Komponente bestehen, die in der Netzwerkbriickenarchitektur auf einfache Weise 
eingefugt werden kann und eine Gateway- und/oder Firewall-Funktionalitat aufweist. 
Dadurch kann der Ihhalt und/oder das Volumen der ein- und ausgehenden Daten, die 
durch die Netzwerkbriicke bzw. deren Speicher flieflen, uberwacht werden. 

0 

Zeichnungen 

Anhand der Zeichnungen werden Ausfuhrungsbeispiele der Erfindung naher erlautert. Es 
zeigen: 

5 

Figur 2 ein Architekturmodell fiir eine Netzwerkbriicke nach der Erfindung 
Figur 3 die Steuerung der Netzwerkbriicken-Gateway-Firewall-Funktionalitat, 
0 Figur 4 eine alternative Realisierung. 

Beschreibung von Ausfiihrungsbeispielen 
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Bevor die eigentliche Erfindung beschrieben wird, wird zum besseren Verstandnis zuerst 
die Funktionsweise eines Architekturmodells fiir eine Netzwerkbriicke gemaB 1EEE1394 
Draft-Version 1.04 vorgestellt. Die Netzwerkbriicke gemafl Figur 2 ist fiber ihre Ports PI, 
P2 ... Pn mit jeweils zwei unabhangigen Netzen Nl, N2 verbunden und kann Daten 
empfangen und senden. Im Allgemeinen wird sie Daten aus einem Netz empfangen und 
in das andereNetz senden. Die Funktionsblocke "Port", "Configuration ROM", "PHY", 
"LINK" und "TRANSACTION" entsprechen denen eines normalen Netzwerk-Knotens 
nach IEEE1394. Zusatzlich verfiigt die Netzwerkbriicke fiber Routing Maps RM und eine 
Routing-Einheit RE fur jedes der beiden Netze. In den Routing Maps RM werden 
Informationen fiber die Topologie und Knoten-Adressen in den jeweiligen Netzen 
bereitgehalten und fiber die Routing-Einheit RE konnen Daten zwischen LINK bzw. 
TRANSACTION und Speicher F der Netzwerkbriicke NB ausgetauscht werden. Nach 
IEEE1394.1 besteht der Speicher F aus einer Anzahl einzelner FIFOs, die Daten, welche 
von einem Bus zum anderen transportiert werden sollen, zwischenspeichern. Die 
Netzwerkbriicke verfiigt auBerdem fiber einen internen Timer T ("Cycle Timer"), mit 
denen sie in der Lage ist, die Takte in den beiden Bussen zu synchronisieren. 

Die Steuerung der Routing-Einheiten RE, wie auch der Funktionsblocke "Port", 
"Configuration ROM", "PHY", "LINK" und "TRANSACTION" erfolgt fiber die 
Funktionseinheiten "Portal Control" PC. 

Der Speicher F der Netzwerkbriicke verfiigt erfindungsgemaB fiber eine 
Netzwerkbriicken-Gateway-Firewall-Funktionalitat BGF fiber die Mialt und/oder das 
Volumen der ein- und ausgehenden Daten, die durch den FIFO-Speicher F flielJen, 
kontrolliert werden. Ffir isochrone Daten sind die zwei oberen Speicherbereiche 
reserviert. Ffir asynchrone Daten sind zwei Anfrage (Request)-Speicherbereiche und zwei 
Antwort (Response)-Speicherbereiche vorgesehen. 

Die Kontrolle des Inhalts und/oder des Volumens erfolgt von der fibergeordneten Instanz 
BGF oder ist fest vorgegeben. 

Durch die Uberpriifung und Steuerung der Daten sind Zugangskontrollen oder auch 
diverse Filterfimktionen, z.B. Paketfilter, fiir den Datenfluss von einem Bussegment fiber 
die Netzwerkbriicke zum nachsten Bussegment moglich. Dies ist die Grundlage fiir eine 
sichere und geschfitzte Datenfibertragung fiber die Netzwerkbriicke. Im Einzelnen bietet 
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die "Bridge-Gateway-Firewall-Funktionalitat" Schutz vor ungewollten Verbindungen, 
wie z.B. Hackerangriffe, oder es wird verhindert, dass vertrauliche Daten unerlaubt xiber 
die Netzwerkbriicke ausgetauscht werden. Die Netzwerkbrucken-Gateway-Firewall- 
Funktionalitat kann konfiguriert werden bzw. bekommt die benotigteh Informationen 
uber geeignete Software-Schnittstellen von einer ubergeordneten Instanz, z.B. einer 
Sofiware-Schicht mit Management- und Konfigurationsaufgaben. Weiterhin ist es 
moglich, die Netzwerkbrucken-Gateway-Fkewall-FiinMionalitat jeder einzelnen 
Netzwerkbriicke individuell zu konfigurieren. Das heifit, jede Netzwerkbriicke ist 
unabhangig von den anderen in der Lage, keine, eine oder mehrere Funktionen eines 
Gateways oder einer Firewall auszufuhren. 

Die Netzwerkbrucken-Gateway-Firewall-Funktionalitat kann z.B. aus einer sogenannten 
Control Unit CU und einer Netzwerkbrucken-Gateway-Firewall-Funktionalitat (Modul 
BGF gemafi Figur 3) bestehen, die es ermoglicht, die Daten (Tnhalt und Volumen), die 
durch den Speicher F der Netzwerkbriicke fliefien, zu analysieren und zu manipulieren. 
Die Analyse der Daten kann auf verschiedenen Ebenen, insbesondere in verschiedenen 
Schichten des OSI-Referenzmodells erfolgen. Das heiBt auf unterster (physikalischer) 
Ebene konnen die 1394-Paketinformationen gepriift werden, aber nicht nur der 1394- 
Header, sondern auch der Inhalt der Nutzdaten kann genau analysiert werden. Somit auch 
die Daten von hoheren Schichten, wie z.B. IP-Daten, bis hoch zu den Daten der 
Anwendungsschicht und den Nutzerdaten. Der Umfang der moglichen Datenanalyse wird 
insbesondere skalierbar ausgebildet, denn er steht im Verhaltnis mit der dafiir benotigten 
Zeit, die wiederum von der Rechenleistung des Prozessors abhangt. Das heifit, dass es 
z.B. verschiedene Filterregeln gibt, und diese sind wiederum konfigurierbar. Die 
Konfiguration dieser Filterregeln bzw. der gesamten Funktionalitat der Netzwerkbriicken- 
Gateway-Fireball kann von einer ubergeordneten Softwareschicht aus, z.B. der 
Management- und Konfigurationsschicht (Konfiguration Layer) BMC, geschehen. 

Ein moglicher Zugriff auf die Daten erfolgt zu einem Zeitpunkt (1), wenn die Daten in 
den Speicher-FIFO (2) geschrieben werden. Dort bleiben sie so lange, bis die 
Netzwerkbriicken-Gateway-Firewall die Daten bearbeitet hat und sie wieder freigibt (3). 
Diese Art der Realisierung kann angewendet werden, wenn sich die Datenanalyse der 
Netzwerkbrucken-Gateway-Fkewall-Funktionalitat auf den Datenumfang beschrankt, der 
in dem FIFO zwischengespeichert werden kann. Ein Beispiel hierflir ist die 
Adressfiinktion (Quell- und Zieladresse): Die Netzwerkbrucken-Gateway-Firewall- 
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Control Unit CU scannt die Datenpakte im FIFO auf bestinimte IP-Adressen, die durch 
die Konfiguration der Netzwerkbriicken-Gateway-Fkewall vorgesehen sind und sperrt die 
Kommunikation von oder zu diesen bestimmten Adressaten. Ein anderes Beispiel ist das 
Sperren oder Priorisieren von bestimmten Eingangs- und Ausgangsinterfaces, wie z.B. 
den jeweiligen PHY-Ports. Ein weiteres Beispiel ist die Protokollftinktion der 
Netzwerkbriicken-Gateway-Firewall: Mit dieser Funktion kann der gesamte 
Datenverkehr durch die Netzwerkbriicke protokolliert werden. Das heiBt, es werden die 
Netz- und/oder Knotenadressen der Pakete, die die Netzwerkbriicke passieren, in einer 
Tabelle oder einem Logfile festgehalten und in gewissen Abstanden an einen anderen 
Funktionsblock wie z.B. das Bridge-Management BMC oder an einen bestimmten 
Knoten, der die Daten auswahlt, ubermittelt. 

Ein etwas anderer Aufbau zur Realisierung der Netzwerkbriicken-Gateway-Firewall zeigt 
Figur 4. Dort ist zu erkennen, dass der gesamte Datenfluss durch die Netzwerkbriicke 
ebenfalls durch die "Bridge-Gateway-Firewall" fliefit. Dies ist notwendig, wenn sich die 
Datenanalyse auf mehrere Pakete ausdehnt und diese nicht gleichzeitig im FIFO 
gespeichert werden konnen oder wenn die Analyse der Nutzdaten mehr Zeit in Anspruch 
nimmt und zusatzliche Buffer (Speicher MM) oder mehr Rechenleistung (Prozessor PR) 
benotigt werden. 

Zur moglichen Kontrolle des Datenvolumens kann z.B. fiir einen bestimmten Zeitraum, 
der per Konfiguration von auBen, d.h. von irgendeinem bestimmten Knoten im Netzwerk 
oder der BMC jederzeit festgelegt werden kann, die Netzwerkbriicken-Gateway-Firewall 
die Ubertragung der isochronen Kanale unterbrechen und bei der Ubertragung der 
asynchronen Kanale den Datenfluss so zu steuern, dass jedem einzelnen Knoten nur eine 
bestimmte Anzahl von Datenubertragungen erlaubt wird. Ist die Anzahl erreicht, werden 
weitere Daten von der Netzwerkbriicken-Gateway-Firewall ignoriert. 

Die Interaktion der einzelnen Funktionsblocke innerhalb der Netzwerkbriicke erfolgt tiber 
Schnittstellen, fiber die Daten gelesen und/oder geschrieben werden konnen. tiber eine 
solche Schnittstelle kann die Management-Konfigurationsschicht BMC, die in Hardware 
oder in Software ausgebildet sein kann, statistische Daten, Nutzdaten oder Parameter zum 
Betrieb der Funktionsblocke manipulieren. Durch das Sammeln verschiedener Daten ist 
es der Softwareschicht moglich, Statistiken zum laufenden Betrieb der Netzwerkbriicke 
in kurzer Zeit zu erstellen. Diese konnen wiederum dazu genutzt werden, den Betrieb der 
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Funktionsblocke zu optimieren, indem z.B. Parameter insbesondere der Funktionsblocke 
geandert werden. Als Beispiel soli ein Netzwerk nach IEEE1394 dienen, in dem zeitweise 
iiberwiegend isochrone Daten, z.B. Audio- und Video-Steams und zeitweise iiberwiegend 
asynchrone Daten iibertragen werden. Uber statistische Auswertungen kann die 
Management- und Konfigurationsschicht BMC oder dariiber liegende Software-Schichten 
erkennen, dass der Anteil der asynchronen Daten am Gesamtdatenaufkommen stark 
zunimmt. Es ist dann moglich, denn flexiblen FIFO-Block F so umzukonfigurieren oder 
ihm entsprechende Vorgaben fur ein automatisches Umkonfigurieren zu machen, dass die 
Speicherbereiche fur isochrone Daten verkleinert und fiir asynchrone Daten vergroJBert 
werden. Die Netzwerkbriicke kann dadurch schnell auf Anderungen reagieren und muss 
nicht permanent Speicherbereiche fiir isochrone und asynchrone Datendurchsatze 
bereithalten. 
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L 0 Anspriiche 

1. Netzwerkbriicke, insbesondere zur Kopplung von IEEE1394-Bussen, beinhaltend: 
- Mitteln (BGF) zur Kontrolle des Inhalts und/oder des Volumens ein- und/oder 

ausgehender Daten, die durch die Netzwerkbriicke bzw. deren Speicher (F) flieBen, 
L 5 wobei die Mittel (BGF) zur Kontrolle des Inhalts und/oder des Volumens von einer 

ubergeordneten Instanz (BMC) konfigurierbar und/oder steuerbar ausgebildet sind 
oder fest vorgegeben sind. 

2. Netzwerkbriicke nach Anspruch 1, dadurch gekennzeichnet, dass die ubergeordnete 

> 0 Instanz (BMC) eine Management- und/oder Konfigurationsschicht fiir die 

Netzwerkbriicke ist. 

3. Netzwerkbriicke nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Mittel 
(BGF) zur Kontrolle des Inhalts und/oder des Volumens aus einer Softwarekomponente 

> 5 innerhalb der Netzwerkbrucken-Architektur bestehen, die eine Gateway- und/oder 

Firewall-Funktionalitat aufweisen. 

4. Netzwerkbriicke nach einem der Anspriiche 1 bis 3, dadurch gekennzeichnet, dass der 
Umfang der Datenanalyse durch die Mittel (BGF) zur Kontrolle des Inhalts und/oder des 

1 0 Volumens skalierbar ausgebildet ist. 

5. Netzwerkbriicke nach einem der Anspriiche 1 bis 4, dadurch gekennzeichnet, dass die 
Mittel (BGF) zur Kontrolle des Inhalts und/oder des Volumens derart ausgebildet sind, 
dass neben einer Analyse der Daten auch eine Manipulation derselben durchfiihrbar ist. 
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6. Netzwerkbriicke nach einem der Anspriiche 1 bis 5, dadurch gekennzeichnet, dass die 
Analyse der Daten und ggf. deren Manipulation in verschiedenen Schichten eines 
Schichtenmodells, insbesondere des OSI-Referenzmodells, durchfiihrbar ist. 

5 7. Netzwerkbriicke nach einem der Anspriiche 1 bis 6, dadurch gekennzeichnet, dass die 

Mittel (BGF) zur Kontrolle des Inhalts und/oder des Volumens ausgebildet sind, 
Adressen, Eingangs- und Ausgangsinterfaces und/oder Protokollinformationen anhand 
der Auswertung zu sperren oder zu priorisieren. 

L 0 8. System, bestehend aus mehreren Netzwerkbriicken nach einem der Anspriiche 1 bis 7, 

dadurch gekennzeichnet, dass die Mittel (BGF) zur Kontrolle des Inhalts und/oder des 
Volumens in jeder Netzwerkbriicke individuell konfigurierbar sind, urn zu ermoglichen, 
dass jede Netzwerkbriicke unabhangig von der/den anderen in der Lage ist, keine, eine 
oder mehrere Funktionen eines Gateways oder einer Firewall auszufuhren. 
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